Tropic Trooper (diğer adlarıyla KeyBoy, Pirate Panda ve APT23), 2011’den beri faaliyet gösteren gelişmiş bir siber casusluk APT grubudur.
Bu APT grubu öncelikli olarak Tayvan, Filipinler ve Hong Kong’daki hükümet kurumlarını, askeri kurumları, sağlık hizmetlerini, ulaştırma ve yüksek teknoloji endüstrilerini hedef alıyor.
Kaspersky Lab’daki siber güvenlik analistleri yakın zamanda Tropic Trooper’ın hassas verileri çalmak için hükümet kuruluşlarına aktif olarak saldırdığını keşfetti.
Teknik analiz
Aralık 2024 tarihli bir raporda, Çince konuşan tehdit aktörü Tropic Trooper’ın Orta Doğu’daki bir devlet kurumuna karşı karmaşık bir siber casusluk saldırısı gerçekleştirmekle suçlandığı belirtiliyordu.
Haziran 2023’ten itibaren süren operasyon, Crowdoor yükleyiciyle birlikte yeni geliştirilen China Chopper ağ kabuğunun bir çeşidini de içeriyordu.
Saldırganlar, hedeflere kötü amaçlı yazılım göndermek için .NET tabanlı Umbraco CMS’yi ele geçirdiler.
Meşru yürütülebilir dosyaları kullanarak “datast.dll” ve “VERSION.dll” gibi kötü amaçlı DLL dosyalarını yükleyen bir DLL yükleyici biçimi olan DLL arama sırası kaçırma işlemini gerçekleştirdiler.
Saldırı zinciri ayrıca Base64 kodlaması, RC4 karartma (anahtar: ‘fYTUdr643$3u’) ve JavaScript dinamik değerlendirmesi gibi ek özellikleri de içerecek şekilde genişletildi.
Bu tehdit aktörleri, Microsoft Exchange’deki CVE-2021-34473, CVE-2021-34523 ve CVE-2021-31207 sorunlarının yanı sıra Adobe ColdFusion’daki CVE-2023-26360 sorunlarından yararlandı.
Are You From SOC/DFIR Teams? - Try Advanced Malware and Phishing Analysis With ANY.RUN - 14 day free trial
Crowdoor, yanal hareketi kolaylaştırmak için sömürü sonrası araçlar kullandı ve Crowdoor yükü WinStore adlı bir Windows hizmeti veya HKCU\Software\Microsoft\Windows\CurrentVersion\Run kayıt defteri anahtarı aracılığıyla kalıcı hale getirildi.
colorcpl.exe işlemine yüklenen yük, C2 sunucusunu kurdu ve “blog.techmersion” adresini kullandı.[.]com” burada bağlantı noktası 443’tür.
Aşağıda kullanılan tüm araçları belirttik:
- Fscan
- Kız kardeş
- Neo-reGeorg
- Godzilla’yı Geç
Saldırıda, “26 Mayıs 2027” gibi geleceğe dönük zaman damgalarının kullanımı ve insan haklarıyla ilgili çalışmalar yürüten hükümet kurumlarına karşı siber saldırıların kullanılmasına yönelik son hamleleri gösteren kötü amaçlı yazılım türlerinin geliştirilmesi gibi gelişen taktikler sergilendi.
Kaspersky, Tropic Trooper’ın muhtemelen FamousSparrow ile ilişkili olduğunu, DLL arama sırası ele geçirme ve RC4 anahtar paylaşım yükleyicileri, Crowdoor ve SparrowDoor gibi araçlarla China Chopper web kabuğu gibi özellikleri kullanarak Orta Doğu hükümet kurumlarını ve Malezya hükümet kurumlarını hedef aldığını belirtti.
Hedefler arasında, İsrail ve Hamas çatışma çalışmalarını yayınlayan Orta Doğu Çalışmaları Merkezi ve saldırı aşamaları arasındaki operasyonel beceri setlerindeki farklılıkları vurgulayan diğer stratejilerin yanı sıra Fscan gibi operasyon sonrası araçların operasyonel hale getirilmesi de yer aldı.
IoC’ler
What Does MITRE ATT&CK Expose About Your Enterprise Security? - Watch Free Webinar!